セキュリティ グループへの管理権限の委任
シナリオ『組織単位の構成の設計および実装』の「Admins OU」で説明したように、Domain Admins および Group Policy Creator Owners は、Windows 2000 Server のビルトイン グループです。既定の設定では、ドメイン内のすべてのオブジェクトに対するフル コントロールが Domain Admins に与えられています。また Group Policy Creator Owners は、ドメインの GPO を作成できます。
シナリオ『グループ ポリシーによるドメインのコンピュータの管理』で説明するように、Noam Server Admins、Noam Help Desk、Boston Admins、およびVancouver Admins に管理権限が与えられるのは、これらのグループが Domain Admins グループによってドメインのコンピュータ上のローカル Administrators グループのメンバとして追加されたときです。
ドメインのユーザーおよびコンピュータのアカウントを管理するために作成したその他の IT セキュリティ グループに、適切な管理権限を手動で与える必要があります。
Active Directoryオブジェクトに対する管理権限を委任する方法の 1 つとして、Active Directory オブジェクトについて与える一連のアクセス許可を定義するアクセス制御リスト (ACL) を構築することがあります。アクセス制御リストは、アクセス制御エントリ (ACE) から構成されます。この方法を使用して、noam.reskit.com ドメイン用に作成した管理グループに権限を委任します。
管理権限を委任したいオブジェクトが含まれる OU の [プロパティ] ダイアログ ボックスでアクセス制御リストを構築します。この手順でリストを構築する際には、対象の OU に含まれるオブジェクト (または一連のオブジェクト) に対するフル コントロール アクセス許可を適用します。さらに各オブジェクトについて、対象になる OU 自体に作成および削除のアクセス許可を適用する必要があります。表 1 は、意図した範囲の管理権限を許可するために、ドメインの各管理セキュリティ グループに適用したすべてのアクセス許可を示しています。
表 1 管理権限の委任
セキュリティ グループ |
適用先 |
委任する権限 |
|---|---|---|
Noam Administrator |
|
フル コントロール |
|
Admins OU (このオブジェクトとすべての子オブジェクト) |
|
Noam User |
ユーザー オブジェクト |
フル コントロール |
|
Noam Users OU (このオブジェクトとすべての子オブジェクト) |
|
Noam Service |
ユーザー (サービス アカウント) オブジェクト |
フル コントロール |
|
Service Accounts OU (このオブジェクトとすべての子オブジェクト) |
|
Noam Computer |
コンピュータ オブジェクト |
フル コントロール |
|
Seattle Computers、Boston Computers、および Vancouver Computers の各 OUの子 OU Servers および Clients (このオブジェクトとすべての子オブジェクト) |
|
注意
Noam Computer Admins に権限を委任するには、構造内の子 OU Servers および Clients ごとに、ここで示した手順を個別に実行する必要があります。
さまざまなアカウント管理者に委任した管理権限に加えて、Departmental Resources OU の子 OU のグループ オブジェクトおよび共有フォルダ オブジェクトに対するフル コントロールを部門管理者に委任します。以下に、Accounting OU に含まれるグループ オブジェクトおよび共有フォルダ オブジェクトに対する管理権限を Accounting Admins セキュリティ グループに委任する手順を示します。委任された管理権限を Accounting Admins でどのように使用するかについては、シナリオ『部門間のリソースの共有』を参照してください。
グループ オブジェクトおよび共有フォルダ オブジェクトに対する管理権限を Accounting Admins に委任するには
Seattle の Windows 2000 Professional ベースのコンピュータから Administrator として noam.reskit.com にログオンします。
[スタート] メニューから、[プログラム]、[管理のツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。
[noam.reskit.com] を展開します。
[Departmental Resources] を展開します。
[Accounting] を右クリックし、[プロパティ] をクリックします。
[セキュリティ] タブをクリックします。
[詳細] をクリックします。
[Accounting のアクセス制御の設定] ダイアログ ボックスで、[追加] をクリックします。
[ユーザー、コンピュータ、またはグループの選択] ダイアログ ボックスの [名前] 列で、[Accounting Admins] を選択して、[OK] をクリックします。[Accounting のアクセス許可のエントリ] ダイアログ ボックスが表示されます。
[適用先] ボックスで、[グループ オブジェクト] を選択します。
[アクセス許可] ボックスの 、[フルコントロール] の [許可] チェックボックスをオンにします (図 1 を参照) 。
.gif "ou-permacct")
図 1: グループ オブジェクトへのフル コントロールの適用
[OK] をクリックします。
[Accounting のアクセス制御の設定] ダイアログ ボックスで、[追加] をクリックします。
[ユーザー、コンピュータ、またはグループの選択] ダイアログ ボックスの [名前] 列で、[Accounting Admins] をクリックして、[OK] をクリックします
[Accounting のアクセス許可のエントリ] ダイアログ ボックスの [適用] ボックスで、[共有フォルダ オブジェクト] を選択します。
[アクセス許可] ボックスの [フルコントロール] の [許可] チェック ボックスをオンにし、[OK] をクリックします。
[Accounting のアクセス制御の設定] ダイアログ ボックスで、[追加] ボタンをクリックします。
[ユーザー、コンピュータ、またはグループの選択] ダイアログ ボックスの [名前] 列で、[Accounting Admins] をクリックして、[OK] をクリックします。
[Accounting のアクセス許可のエントリ] ダイアログ ボックスの [適用] ボックスで、既定の設定である [このオブジェクトとすべての子オブジェクト] をそのまま使用します。
[アクセス許可] ボックスで、以下のチェック ボックスをオンにします。
[グループ オブジェクトの作成]
[グループ オブジェクトの削除]
[共有フォルダ オブジェクトの作成]
[共有フォルダ オブジェクトの削除]
[OK] をクリックします。
[OK] をクリックして、[Accounting のアクセス制御の設定] ダイアログ ボックスを閉じます。
[OK] をクリックして、[Accounting のプロパティ] ダイアログ ボックスを閉じます。
関連情報
セキュリティ グループへの管理権限の委任
関連資料
Windows 2000 リソース キットの詳細については、こちらを参照してください。
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。